Spring Boot+Spring Security+Jwt实现登陆认证

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量945 收藏 5
点赞数 1
分类专栏: springsecurity 文章标签: session jwt java springsecurity cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dream_cola/article/details/109223443
版权

文章目录

Spring Boot+Spring Security+Jwt实现登陆认证

1.JWT简介

​ 在项目里面,实现登录认证有很多方式,其中传统的session和jwt应该是主要的两种,通过对比我们来揭开jwt的神秘面纱。

传统session认证的流程:
  1. 用户向服务器发送用户名和密码;
  2. 服务器通过验证后,在会话session里面保存客户端信息,比如用户名,角色等
  3. 返回一个session_id,并写入cookie,返回用户
  4. 下次请求时,用户携带这个带有session_id的cookie访问服务器,服务器根据这个id找到相应的session,从而找到这个用户的信息。

​ 基于传统session的缺点如下:

  1. 服务端要保存大量的session数据,增加了访问压力

  2. 如果要做集群化部署,那么服务器要把session做共享,十分麻烦

    jwt认证机制及流程

​ jwt认证克服了session的弊端,它不需要在服务器里面保存大量的信息,这也意味着如果有多台服务器,也不需要考虑用户在哪台服务器访问认证。

​ 基于jwt的认证流程:

  1. 用户发请求传用户名和密码;
  2. 服务器验证用户信息;
  3. 验证通过后发送用户一个token;
  4. 客户端存储token,下次用户发请求都要携带这个token
  5. 服务端接受并解析token,如果解析正确,则放行用户请求,给他服务或者数据
jwt是什么样子

​ JWT包含三段信息,每段信息之间用.拼接,实际上就是三段信息拼接的字符串,具体样子如下

image-20201022150750167

可以看到由三个字符串拼接为一个长字符串,这就是jwt的数据格式。下面就一一解读下这三段信息。

1.头部Header(第一段字符串)

​ 头部通常包含两个信息,格式如下:

   {
    'typ': 'JWT',
    'alg': 'HS256'
   }

​ typ 声明类型,alg声明加密的算法,将上述格式的数据通过Base64Url编码(可解码)就得到了第一段字符串:eyJhbGciOiJIUzUxMiJ9

2.载荷payload(第二段字符串)

​ 载荷就是存放有效数据,通常存放三部分有效信息,标准中注册的声明、公共的声明、私有的声明。

​ 关于标准中注册的声明,官方文档中给出了七个示例信息:

  1. iss (issuer):表示签发人
  2. exp (expiration time):表示token过期时间
  3. sub (subject):主题
  4. aud (audience):受众
  5. nbf (Not Before):生效时间
  6. iat (Issued At):签发时间
  7. jti (JWT ID):编号

​ 关于公共声明,它就是可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密。

​ 关于私有的声明 ,私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

​ 我们可以自定义一个payload:

{
    "userId":15,
    "userName":"dream_coke1"
}

​ 通过base64编码后就变成了第二段字符串:eyJ1c2VyTmFtZSI6ImRyZWFtX2Nva2UxIiwidXNlcklkIjo3fQ

3.签名 Signature:是整个数据的认证信息,那么它是怎么得到的呢?通过前面两个步骤,我们可以得到经过base64编码后的第一部分和第二部分的字符串,那么这个字符串再加上密钥secret(密钥(也是一段字符串)保存在服务端,不能泄露给客户端),通过 Header 中配置的加密算法(这里是HS256)生成.故最后生成了第三段字符串jxgP52fFp1PIjR6BjPd4cq5Je2lq_w_95ylsxe7HiSxvbXPpYmC7iXVy1gj-4WjOr8176pjG–EuhcTiiUmrIA

2.Spring Security 登陆流程

详情见下面的链接

https://blog.csdn.net/dream_cola/article/details/109205068

3. 两者结合

待更新

面对所有
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring项目中使用Jwt完成Token验证
服务员的博客
10-24 4584
一、什么是JWT?为什么使用JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 随着技术的发展,分布式web应用的普及,通过se.
JWT及和Spring Security整合
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-03 2261
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: 解析jwt的官网:https://jwt.io/
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 6533
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
SpringSecurityJWT
SADADADG的博客
04-10 6995
1.不做任何配置 引入了依赖之后,就会自动生效,会自动跳转的自带的登录页面 账号:user 密码:控制台输出(随机生成) 2.自定义登录逻辑 (1)UserDetailsService——通过用户名得到数据库数据 1.会加载用户名,把信息从数据库中取出来,返回一个UserDetails 2.会进行比较用户名和密码 public interface UserDetailsService { UserDetails loadUserByUsername(String username) throw
SpringBoot 快速集成 JWT 实现用户登录认证
何哥的博客
04-11 1万+
前言:当今前后端分离时代,基于Token的会话保持机制比传统的Session/Cookie机制更加方便,下面我会介绍SpringBoot快速集成JWTjava-jwt以完成用户登录认证。 一、JWT 简介 1.1、 JWT的概念 JWT 是 JSON Web Token 的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring BootSpring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
SpringBoot整合JWT
蛋饼吧的博客
05-18 8611
1.认证方式我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
m0_67261762的博客
07-03 570
Spring Security作为成熟且强大的安全框架,得到许多大厂的青睐。而作为前后端分离的SSO方案,JWT也在许多项目中应用。本文将介绍如何通过Spring Security实现JWT认证。用户与服务器交互大概如下:我们把要整合的Spring SecurityJWT加入到项目的依赖中去: 2.1 JWT整合 2.1.1 JWT工具类 JWT工具类起码要具有以下功能:具体代码如下: 工具类还实现了另一个功能:从HTTP请求头中获取JWT。Filter是Security处理的关键,基本上都是
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 3858
SpringSecurity+JWT快速入门
springsecurity-jwt整合
weixin_44846436的博客
03-27 993
方法,设置到其中。3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2)创建我们自己的决策管理器AccessDecisionManager,实现decide方法,判断步骤1)中获取到的角色和我们目前登录的角色是否相同,相同则允许访问,不相同则不允许访问,123456 //这里是密钥,只要够复杂,一般不会被破解。
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
小爽帅到拖网速的博客
03-30 1万+
JWT 1、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally sig
Spring+Boot+Spring+Security+JWT+实现+RESTful+Api+认证+(一)
09-20
Spring BootSpring Security可以很好地结合使用来实现RESTful API的认证。而JWT(JSON Web Token)是一种用于认证和授权的安全传输方式。 要在Spring Boot实现JWT认证,可以遵循以下步骤: 1. 添加依赖:在`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值